boulevard de Berlaimont 14 - BE-1000 Bruxellestel. +322221 4866numero d'entreprise: 0203. 201. 340RPM Bruxelles

www. bnb. be

BanquelMationaleBankDEB£LGIC?UE VAN BELGIE

Eurosystem

Circulaire

Bruxelles, Ie 16juin2020

Reference :

votre correspondant:

Thomas Plomleux

tel. +32 2 221 21 97

thomas, plomteux@nbb. be

NBB 2020 23

Orientations de I'Autorite Bancaire Europeenne (ABE) du 29 novembre 2019 sur la gestion des risques

lies aux TIC1 et a la securite (EBA/GL/2019/04)

Champ d'apolication

. etablissements de credit et societes de bourse de droit beige ;

. tes succursales etablies en Belgique d'etablissements de credit et de societes de bourserelevant du droit d'un Etat non membre de I'EEE ;

. tes Etablissements de paiement et etablissements de monnaie electronique de droit beige;

. tes succursales etablies en Belgique d'etablissements de paiement et d'etablissements demonnaie electronique relevant du droit d'un Bat non membre de I'EEE2:

. dans Ie cadre du controle consolide, du controle de groupe ou du controle complementairede conglomerat, les compagnies financieres et les compagnies financieres mixtes.

Resume/Obiectjf

La presents circulaire met en ceuvre les orientations de I'Autohte Bancaire Europeenne(ci-apres l'« ABE ») sur la gestion des risques lies aux TIC et a la securite (EBA/GU2019/04)3e( sera d'application a partir du 30juin 2020. Elle remplace la circulaire NBB_2018_13, qui nesera p/us d'application a partir de cette date.

1 Technologies de ['information et de la communication.2 En supposant que la disposition [egale, dont Ie contenu est precise ici, soit rendue applicable aux succursales

concemees.

^ httDS://eba.europa.eu/requlation-and-po[icv/intemal-aovernance/C]uidelines-on-ict-and-securitv-risk-manaQement.NBB_2020_23 - 16062020 Circulaire - Page 1/3

Madame,

Monsieur,

1. Introduction ct justification

Par la presente circulaire, la BNB indique que les orientations de I'ABE sur la gestion des risques lies aux

TIC et a la securite sont integrees dans sa pratique du controle. Ces orientations visent a assurer unegestion adequate des technologies de I'information et de la communication (TIC) et de la securite dans Iesecteur financier au sein de I'Union europeenne, ainsi que des conditions de concurrence equitables en la

matiere pour les etablissements financiers. Ces orientations contiennent notamment des dispositions

relatives a la gouvemance et a la strategic, a la gestion des risques lies aux TIC et a la securite, a la

securite de I'information, a la gestion des operations de TIC, a la gestion des projets de TIC et duchangement, ainsi qu'a la gestion de la continuite des activites.

La presente circulaire precise ainsi les attentes de la Banque Nationale de Belgique en matiere

d'application des dispositions suivantes :. les articles 21 de la loi du 25 avril 2014 relative au statut et au controls des etablissements de

credit et des societes de bourse(« la loi bancaire du 25 avril 2014 »)ainsique21 et 176 de la loidu 11 mars 2018 relative au statut et au controle des etablissements de paiement et des

etablissements de monnaie 61ectronique, a I'acces a I'activite de prestataire de services de

paiement, et a I'activite d'emission de monnaie electronique, et a I'acces aux systemes de paiement(« la loi relative aux services de paiement du 11 mars 2018 »), concernant I'obligation de

disposer d'un dispositif solide et adfequat d'organisation d'entreprise4;. les articles 50 a 53 et 145 de la loi du 11 mars 20185 concernant les risques de securite pour la

prestation de services de paiement et remission de monnaie electronique.

En vertu de I'article 168 de la loi bancaire, ces exigences sont egalement applicables sur base consolideedans Ie chef des etablissements de credit meres beiges et des etablissements de credit de droit beige qui

sent controles par une compagnie financiere mere ou une compagnie financiere mixte mere. Dans ce

contexte, les compagnies financieres et les compagnies financieres mixtes de droit beige sont donecensees appliquer la presents cireulaire sur base consolidee.

Ces articles renvoient notamment a:

. une structure de gestion adequate, y compris un dispositifd'attribution des responsabilites qui est bien defini,transparent et coherent;

. des procedures efficaces d'identification, de mesure, de gestion, de suivi et de reporting interne des risquesde I'etablissement financiere;

. une fonction de gestion des risques et une fonction d'audit inteme independantes adequates;

. des mesures de controle et de securite adequates dans Ie domaine informatique;

. la mise en place de mesures adequates de continuite de 1'activite afin d'assurer Ie maintien des fonctionscritiques/essentielles ou leur retablissement Ie plus rapidement possible, ainsi que la reprise dans un delairaisonnable de la fourniture des services habituels et de I'exerdce des activites normales.

5 Les articles 50 a 53 et 145 de [a loi relative aux services de paiement predsent que chaque prestataire de sen/icesde paiement est cense definlr une politique de securite ainsi que des procedures de notification des incidents.

Clrculalre - Page 2/3 NBB_2020_23 - 16062020

rtl

2. Precisions relatives au champ d'application et a I'entree en vigueur

Lorsque les orientations de I'ABE et la presente cireulaire font reference aux « etablissements financiers »,

elles sont applicables aux :

. prestataires de services de paiement (etablissements de paiement, etablissements de monnaie

electronique et etablissements de credit), pour ce qui concerne la prestation de services de

paiement;

. etablissements de credit, pour ce qui concerne toutes leurs activites autres que les services de

paiement;

. societes de bourse, pour ce qui concerne toutes leurs activites.

Certaines dispositions et precisions figurant dans les orientations s'adressent exclusivement aux

prestataires de services de paiement, aux etablissements de credit ou aux « entreprises

d'investissement». S'agissant du champ d'application de la presente circulaire, par « entreprisesd'investissement », il faut entendre « societes de bourse ».

La presente circulaire sera d'application au 30juin 2020 et remplace la circulaire NBB_2018_13, qui ne

sera plus d'application a partir de cette date.

Les orientations de I'ABE doivent etre lues et appliquees ensemble avec les dispositions des circulairessuivantes :

. la circulaire NBB_2019_19, qui definit, pour ce champ d'application, les attentes g6n6rales enmatiere d'externalisation;

. la circulaire NBB_2015_32, qui est applicable en particulier aux etablissements financiers

d'importance systemique;. la circulaire CBFA_2009_17, qui contient des dispositions complementaires pour ce qui concerne

la fourniture de services financiers (S I'exception de services de paiement) via internet (notammentpour les etablissements de credit et les societes de bourse);

. la circulaire PPB 2005/2, qui contient des dispositions complementaires pour ce qui concerne lagestion de la continuite des activites (notamment pour les etablissements de credit et les societes

de bourse);

. la circulaire NBB_2019_09, qui definit Ie reporting relatif aux risques operationnels et de securitelies aux services de paiement pour les etablissements de credit et les succursales desetablissements de credit;

. la circulaire NBB_2020_24, qui definit Ie reporting relatif aux risques operationnels et de securite

lies aux services de paiement pour les etablissements de paiement et les etablissements demonnaie electronique.

Une copie de la presente circulaire est adresste au(x) commissaire(s), reviseur(s) agree(s) de votreetablissement.

Je vous prie d'agreer, Madame, Monsieur, I'assurance de ma consideration distinguSe.

NBB 2020 23 - 16062020 Circulaire - Page 3/3